1、美國(guó)信息安全綜述1美國(guó)信息安全戰(zhàn)略的演變美國(guó)十分重視信息安全，是最早制定和實(shí)施信息安全戰(zhàn)略的國(guó)家，并隨著形勢(shì)的變化不斷發(fā)展和完善。 總的來(lái)說(shuō)美國(guó)現(xiàn)行的信息安 全戰(zhàn)略屬于“擴(kuò)張型”信息安全戰(zhàn)略。為實(shí)現(xiàn)擴(kuò)張性戰(zhàn)略目標(biāo)，美國(guó) 制定了較為系統(tǒng)的信息安全政策法規(guī)體系， 組建了從國(guó)家層面、部委 層面到機(jī)構(gòu)層面的信息安全管理機(jī)構(gòu)，在各個(gè)層面上力求做到分工合 理、各司其職；國(guó)防部成立了網(wǎng)絡(luò)戰(zhàn)司令部，積極部署信息戰(zhàn)：進(jìn)行 系統(tǒng)的信息安全評(píng)估，對(duì)信息安全狀況、信息安全政策落實(shí)情況和信 息安全能力評(píng)估，并根據(jù)評(píng)估結(jié)果調(diào)整和改革信息安全戰(zhàn)略。1. 1克林頓政府信息安全戰(zhàn)略克林頓政府任職期間，即20世紀(jì)90年代中后期至

2、21世紀(jì)初，美國(guó) 信息安全戰(zhàn)略發(fā)展為維護(hù)信息的保密性、完整性、可用性、可控性的 信息安全戰(zhàn)略，并且正式成為國(guó)家安全戰(zhàn)略的正式組成部分。1998年美國(guó)政府頒發(fā)了保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的總統(tǒng)令 (PDD 63),第一次就美國(guó)信息安全戰(zhàn)略的完整概念、意義、長(zhǎng)期與 短期目標(biāo)等作了說(shuō)明，對(duì)由國(guó)防部提出的“信息保障”作了新的解釋， 并對(duì)下一步的信息安全工作做了指示。199弭底美國(guó)國(guó)家安全局制定 了信息保障技術(shù)框架(IATF),提出了 “深度防御戰(zhàn)略”，確定了 包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算環(huán)境防御和支撐性基 礎(chǔ)沒施的深度防御目標(biāo)p】。2000年總統(tǒng)國(guó)家安全戰(zhàn)略報(bào)告的頒布， 是 美國(guó)國(guó)家信息安全政

3、策的重大事件。在該報(bào)告中，“信息安全”被列 入其中，成為國(guó)家安全戰(zhàn)略的正式組成部分。 這標(biāo)志著信息安全正式 進(jìn)入國(guó)家安全戰(zhàn)略的框架，并開始具有其自身的獨(dú)立地位。止匕外，在 這一時(shí)期還成立了多個(gè)信息安全保護(hù)組織， 其中包括全國(guó)性的信息保 障委員會(huì)、全國(guó)性的信息保障同盟、首席信息官委員會(huì)、關(guān)鍵基礎(chǔ)設(shè) 施保障辦公室、聯(lián)邦計(jì)算機(jī)事件響應(yīng)能動(dòng)組等。1. 2布什政府信息安全戰(zhàn)略由于“9 ll ”事件，使信息安全戰(zhàn)略地位不斷升級(jí)。布什政府 在任期間，美國(guó)把信息安全戰(zhàn)略置于國(guó)家總體安全戰(zhàn)略的核心地位， 非常關(guān)注貫徹實(shí)施信息安全戰(zhàn)略措施。2001年美國(guó)發(fā)布第13231號(hào)行政令信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保 護(hù)，將“總

4、統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”改為行政實(shí)體“總統(tǒng)關(guān)鍵 基礎(chǔ)沒施保護(hù)辦公室”，作為聯(lián)邦基礎(chǔ)設(shè)施安全保護(hù)的最高管理協(xié)調(diào) 機(jī)構(gòu)。200許2月發(fā)布碉網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略，進(jìn)一步保護(hù)國(guó)家關(guān)鍵 基礎(chǔ)設(shè)施安全呻。此外布什政府還淵整國(guó)家信息安全工作機(jī)構(gòu)，設(shè)置直接向總統(tǒng)負(fù)責(zé)的總統(tǒng)國(guó)家安全顧問(wèn)一職，設(shè)立國(guó)土安全部、國(guó)家保 密局信息戰(zhàn)處、聯(lián)合參謀信息戰(zhàn)局、信息系統(tǒng)安全中心，同時(shí)建立相 應(yīng)的其他配套的工作機(jī)構(gòu)，以保證國(guó)家信息安全工作的協(xié)調(diào)、 統(tǒng)一與 效率。1. 3奧巴馬政府信息安全戰(zhàn)略?shī)W巴馬政府雖然剛剛上任不久，不過(guò)依舊高度重視信息安全戰(zhàn) 略，積極推進(jìn)網(wǎng)絡(luò)安全評(píng)估，試圖改變美國(guó)信息安全保障不力的情況， 開始著手制定新的國(guó)家

5、信息安全戰(zhàn)略。奧巴馬在競(jìng)選期間就一直強(qiáng)調(diào)網(wǎng)絡(luò)安全對(duì)美國(guó)的重要性，他甚至將來(lái)自網(wǎng)絡(luò)空問(wèn)的威脅等同于核武器和生物武器對(duì)美國(guó)的威脅polo奧巴馬上臺(tái)不久就親自主導(dǎo)了一個(gè) 60天的信息安全評(píng)估項(xiàng)目，2009 年5月29日公布了美國(guó)網(wǎng)絡(luò)安全浮估報(bào)告，報(bào)告評(píng)估了美國(guó)政府 在網(wǎng)絡(luò)空問(wèn)的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問(wèn)題，提出行動(dòng) 計(jì)劃。奧巴馬也于報(bào)告發(fā)布當(dāng)天表示，要將保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為維 護(hù)美國(guó)國(guó)家安全的第一要?jiǎng)?wù)，指出來(lái)自網(wǎng)絡(luò)空l(shuí) '日J(rèn)的威脅已成為美 國(guó)面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一， 他表示要親自任命一位白宮 計(jì)算機(jī)網(wǎng)絡(luò)安全總管，負(fù)責(zé)制定美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略為緊跟奧巴馬政府 強(qiáng)化網(wǎng)絡(luò)安全的要

6、求，今年4月，美國(guó)參議院商業(yè)、科學(xué)和交通委員 會(huì)Rockefeller主席等人，向第111屆國(guó)會(huì)提交了2009網(wǎng)絡(luò)安全法 (Cybersecurity Act of 2009) 議案。目前該議案已提交商業(yè)、科學(xué) 和交通委員會(huì)審議。今年6月份，美國(guó)國(guó)防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn) 司令部。網(wǎng)絡(luò)戰(zhàn)司令部主要進(jìn)行數(shù)字戰(zhàn)爭(zhēng)，防護(hù)針對(duì)美軍計(jì)算機(jī)網(wǎng)絡(luò) 的安全威脅。司令部將于lO月開始運(yùn)作，并于2010年lO月正式運(yùn)行。 2組織機(jī)構(gòu)為了落實(shí)各項(xiàng)信息安全政策，美國(guó)將政策執(zhí)行、監(jiān)督、管理等權(quán) 利分配給多個(gè)政府部門，其中包括：審計(jì)署、行政管理和預(yù)算局、國(guó) 家標(biāo)準(zhǔn)局、國(guó)土安全部、國(guó)防部、商務(wù)部、財(cái)政部等多個(gè)

7、部 I、】以及 多個(gè)委員會(huì)和辦公室，這就構(gòu)成了美國(guó)龐大的信息安全機(jī)構(gòu)體系。 美國(guó)成立了 “全圍信息保障委員會(huì)”、“全國(guó)信怠保障同盟”和“關(guān)鍵基礎(chǔ)設(shè)施慝息保障辦公室”等10多個(gè)全國(guó)性機(jī)構(gòu)。其中總統(tǒng)信息安全 政策委員會(huì)、總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)辦公室等，直接為總統(tǒng)決策服務(wù)。 這些委員會(huì)成員主要包括主要政府部門，定期舉行會(huì)議并提交報(bào)出 為總統(tǒng)了j薛信息安全狀況和制定政策提供建議，并協(xié)調(diào)各項(xiàng)保護(hù)信 息系統(tǒng)計(jì)劃的實(shí)施。 美國(guó)審計(jì)署（GAO）審計(jì)署（GAO尾為國(guó)會(huì)工作的，獨(dú)立的、無(wú)黨派的機(jī)構(gòu)，負(fù)責(zé)財(cái) 政審計(jì)、項(xiàng)目復(fù)查與評(píng)估以及調(diào)查研究。在信息安全監(jiān)管領(lǐng)域，審計(jì) 署負(fù)責(zé)核查與信息安全相關(guān)的公共基金的使用情況：評(píng)

8、估聯(lián)邦政府信 息安全的項(xiàng)目和工作：為政府提供分析、選擇和其它支持以便幫助美 國(guó)國(guó)會(huì)做出有效的監(jiān)督、政策以及資金分配決策。審計(jì)署公布的信息安全報(bào)告很多， 包括向國(guó)會(huì)提交的信息安全 年度報(bào)告、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)：國(guó)土安全部需要進(jìn)一步促進(jìn)網(wǎng)絡(luò)安 全、關(guān)鍵基礎(chǔ)沒施保護(hù)：國(guó)土安全部需要更好地解決其網(wǎng)絡(luò)安全職 責(zé)問(wèn)題、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)：部門特別計(jì)劃對(duì)關(guān)鍵網(wǎng)絡(luò)安全要素的 覆蓋各不相同、網(wǎng)絡(luò)分析與警告：國(guó)土安全部在建立綜合安全能力 上面臨挑戰(zhàn)、網(wǎng)絡(luò)安全：聯(lián)邦層面需要持續(xù)努力保護(hù)關(guān)鍵系統(tǒng)和信 息、美國(guó)審計(jì)署報(bào)告：美國(guó)需要加強(qiáng)激勵(lì)網(wǎng)絡(luò)安全努力、信息安 全：新興的網(wǎng)絡(luò)安全威脅、國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略等等。（2）行政管理和預(yù)

9、算局（OMB）行政管理和預(yù)算局（OM B）負(fù)責(zé)制定和監(jiān)督政府部部門有關(guān)信息 安全的政策、原則、標(biāo)準(zhǔn)和指導(dǎo)方針。在監(jiān)督政府機(jī)關(guān)的信息安全政策與實(shí)際實(shí)施中負(fù)責(zé)如下事務(wù)：制定信息安全政策、規(guī)則等，并監(jiān)督其實(shí)行；要求機(jī)關(guān)按照風(fēng)險(xiǎn)等級(jí)實(shí)施相應(yīng)的信息安全保護(hù)措施：與有關(guān)機(jī)構(gòu)合作，以確保國(guó)家標(biāo)準(zhǔn)局(NIST)建立的標(biāo)準(zhǔn)、指南等與國(guó)家安 全系統(tǒng)的互補(bǔ)性；對(duì)政府機(jī)關(guān)的信息安全項(xiàng)目進(jìn)行一年一度的評(píng)價(jià)， 認(rèn)可或者不認(rèn)可其信息安全項(xiàng)目；監(jiān)督聯(lián)邦信息安全事件中心的運(yùn) 行；每年就信息安全相關(guān)問(wèn)題向國(guó)會(huì)進(jìn)行報(bào)告。(3)國(guó)家標(biāo)準(zhǔn)局(NIST)國(guó)家標(biāo)準(zhǔn)局為商務(wù)部下屬機(jī)構(gòu)，它協(xié)助政府和產(chǎn)業(yè)界進(jìn)行安全規(guī) 劃、風(fēng)險(xiǎn)管理、應(yīng)急計(jì)劃、加

10、密、人員身份認(rèn)證及智能卡應(yīng)用等安全 技術(shù)的開發(fā)、推廣應(yīng)用、計(jì)算機(jī)病毒檢測(cè)與防治、安全教育培訓(xùn)等方 面的工作，同時(shí)還負(fù)責(zé)制定安全技術(shù)和安全產(chǎn)品的國(guó)家和國(guó)際標(biāo)準(zhǔn)。 (4)美國(guó)國(guó)防部美國(guó)國(guó)防部主要由其下屬的國(guó)家安全局和全國(guó)計(jì)算機(jī)安全中心 負(fù)責(zé)國(guó)家信息保障事務(wù)。國(guó)家安全局主要負(fù)責(zé)保密信息系統(tǒng)(國(guó)家安全系統(tǒng))的信息安全工作。國(guó)家安全局局長(zhǎng)被任命為國(guó)家安全系統(tǒng)的信息安全國(guó)家主管。國(guó)家安全系統(tǒng)的保密信息包括美國(guó)憲法2315a第102項(xiàng)規(guī)定的信息：涉及情 報(bào)的活動(dòng)：涉及與國(guó)家安全有關(guān)的隱蔽活動(dòng)；涉及軍隊(duì)的指揮與控制； 涉及屬于武器和武器裝備或?qū)ν瓿绍娛禄蚯閳?bào)任務(wù)至關(guān)重要的設(shè)備 等。全國(guó)計(jì)算機(jī)安全中心具體落實(shí)國(guó)

11、家安全局所負(fù)責(zé)的信息安全工 作，包括以下幾個(gè)方面：幫助其他政府機(jī)構(gòu)解決與“國(guó)家安全系統(tǒng)”有關(guān)的信息安全問(wèn)題，其中包括風(fēng)險(xiǎn)評(píng)估、安全規(guī)劃、運(yùn)行安全、驗(yàn) 證等安全措施；出版信息系統(tǒng)安全產(chǎn)品和服務(wù)名錄：根據(jù)聯(lián)邦政 府機(jī)構(gòu)及其合同單位的要求，對(duì)有關(guān)信息系統(tǒng)的薄弱環(huán)節(jié)加以評(píng)估， 并提出消除和改善薄弱環(huán)節(jié)的信息系統(tǒng)安全措施。(5)國(guó)土安全部國(guó)土安全部是“ 911''后新組建的部門，該部下屬機(jī)構(gòu)包括： 國(guó)家基礎(chǔ)設(shè)施保護(hù)中心，國(guó)家通信系統(tǒng)局，關(guān)鍵基礎(chǔ)沒施保障辦公室， 計(jì)算機(jī)安全分會(huì)，國(guó)家基礎(chǔ)沒施建模與分析中心，聯(lián)邦計(jì)算機(jī)事故反 應(yīng)中心等。主要負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和計(jì)算機(jī)安全、 信息管理標(biāo)準(zhǔn) 的

12、制定、信息共享等。雖然美國(guó)擁有龐大信息安全管理的機(jī)構(gòu)，但是 奧巴馬政府認(rèn)為：美國(guó)的網(wǎng)絡(luò)安全管理權(quán)力分散在多個(gè)聯(lián)邦部門和機(jī) 構(gòu)中，沒有一個(gè)部門統(tǒng)一負(fù)責(zé)制定網(wǎng)絡(luò)安全政策，沒有一個(gè)委員會(huì)去 監(jiān)控網(wǎng)絡(luò)安傘威脅的范圍和等級(jí)。美國(guó)迫切需要建立一個(gè)能夠統(tǒng)籌協(xié) 調(diào)所有網(wǎng)絡(luò)安全政策和行動(dòng)的機(jī)構(gòu)，以加強(qiáng)對(duì)阿絡(luò)安全的監(jiān)管口從此 可見，現(xiàn)有的組織機(jī)構(gòu)還將會(huì)進(jìn)一步變革。3人才培養(yǎng)體系人才培養(yǎng)是信息安全保障體系中非常重要的一環(huán)。美國(guó)政府歷來(lái) 重視信息安全人才的培養(yǎng)，為培養(yǎng)信息安全人水出臺(tái)了各類信息安全 教育項(xiàng)目。其中比較有代表性的教育項(xiàng)目包括：(1)聯(lián)邦計(jì)算機(jī)服務(wù)(FSC)項(xiàng)目，它是綜合性的項(xiàng)目，它的很多活動(dòng)都 遵循信息安全培訓(xùn)概念性框架。這個(gè)框架是國(guó)家標(biāo)準(zhǔn)局在 信息技術(shù) 安全培訓(xùn)要求：基于角色和表現(xiàn)的模型 (NIST SP 800 .16)中提出 的。FSCK目整合和借鑒了聯(lián)邦政府內(nèi)已有的相關(guān)項(xiàng)目和成果，此外 它還完成人事管理辦公廳(0MP)的信息技術(shù)職位研究。(2)服務(wù)獎(jiǎng)學(xué)金(SFS)項(xiàng)目：在該項(xiàng)目中，政府資助研究生和本科生的 信息安全學(xué)習(xí)，他們學(xué)成后要服務(wù)于聯(lián)邦政府。(3)中小學(xué)拓廣項(xiàng)目：該項(xiàng)目和前面幾個(gè)項(xiàng)目保持了很好的銜接性， 也體現(xiàn)了美國(guó)政府眼光的長(zhǎng)遠(yuǎn)，為培養(yǎng)信息安全人才奠定了良好的基 礎(chǔ)。(4)聯(lián)邦